Es necesario que todo cambie para que todo siga igual

La avalancha normativa ocasionada por los casos de Enron y World Com, y agravada por el 11-S, cuya finalidad es recuperar la confianza de los inversores en sentido amplio, está afectando o va a afectar a la gestión de TIC y su revisión, y especialmente al polinomio confidencialidad + integridad + disponibilidad.
JOSÉ DE LA PEÑA SÁNCHEZ
Auditor Censor Jurado de Cuentas
y Licenciado en Informática
info@codasic.com
Nos vamos a referir en esta entrega a varios documentos; a saber: la Norma Técnica de Auditoría (NTA) ICAC/29-9-2002 sobre la auditoría de cuentas en entornos informatizados, y, sucintamente, a la ley nº 44/2002 llamada Financiera -que como su nombre indica es más que financiera-, a la propuesta de Código de Sociedades Mercantiles de 16-5-2002, al documento AECA/11-2002 -iniciático de la Comisión de Nuevas Tecnologías (¿nuevas todavía?)- titulado “Código de buenas prácticas para la divulgación financiera en Internet”, y al Informe Aldama, de 8-1-2002, tan esperado y, en mi opinión, tan decepcionante.
Entremos en el asunto: el ICAC ha sometido a información pública la NTA sobre auditoría de cuentas en entornos informatizados, versión española de la Norma Internacional IFAC/401, “Auditoría en un contexto informatizado”, que en mi opinión tiene un contenido no del todo cosmético.
En primera aproximación y matizando los aspectos básicos de independencia y responsabilidad, y, por supuesto, enfatizando el control interno, el auditor parece configurarse como un equipo multidisciplinar. Nos basamos para sostener esta opinión en los siguientes párrafos de la norma:
1.-“El auditor debe tener el conocimiento suficiente de los sistemas informáticos, que le permita planificar, dirigir, supervisar y revisar el trabajo realizado. Debe evaluar si es necesario para la auditoría disponer de conocimientos especializados sobre esta materia que...”
2.-“Si el auditor estima que se requieren conocimientos específicos para cubrir los aspectos... indicados, podrá obtener asesoramiento de otros profesionales que los poseen, bien de su propia organización o bien ajenos a la misma”.
3.- “La aparición de nuevas tecnologías informáticas, aumenta la sofisticación global del sistema informático y la complejidad de sus aplicaciones específicas. Como resultado, pueden verse incrementados los riesgos inherentes y de control”.
4.-“...Los métodos para obtener la evidencia de auditoría adecuada y suficiente, pueden verse influenciados por los procesos informáticos”.
La auditoría informática sin más se ha convertido hoy en una actividad generalista que, al menos en lo que respecta a la seguridad de la información y a los riesgos de seguridad, demanda profesionales con conocimientos muy actualizados de herramientas tecnológicas. También, por supuesto, de legislación.
La verdad sea dicha es que nunca antes se han necesitado tanto auditores informáticos con conocimientos en técnicas de auditoría y en TIC. Obviamente, la auditoría informática sin más se ha convertido hoy en una actividad generalista que, al menos en lo que respecta a la seguridad de la información y a los riesgos de seguridad, demanda profesionales con conocimientos muy actualizados de herramientas tecnológicas y su integración. También, por supuesto, de legislación.
La auditoría, así, sin más coletillas, contempla la empresa como un todo y desde múltiples puntos de vista, esto es, la imagen fiel de la empresa, no de un solo aspecto, sea o no importante.
Parece lógico pensar, por tanto, que el equipo de auditoría, multidisciplinar por supuesto, debería estar compuesto por un auditor jefe, generalista, “que sabe casi nada sobre casi todo” y por especialistas/auditores o expertos, “que saben casi todo sobre casi nada”, además del personal de apoyo. En el grupo de los que saben casi todo sobre casi nada, y en el contexto de la auditoría sin apellidos, es donde deben tener su sitio obligadamente algunos profesionales de la seguridad de la información. Ojo, que estamos hablando de auditoría y no de otros escenarios en los que, claro está, estos profesionales son tanto o más necesarios.
La NTA sobre Auditoría de entornos informatizados casi cierra el ciclo de normas técnicas de auditoría en España, junto a otras tantas ya existentes como las referidas a auditoría interna, manifestaciones de la dirección, importancia relativa, relación entre auditores, aspectos medioambientales, errores e irregularidades, y cumplimiento de la normativa aplicable a la entidad auditada, por mencionar las más destacadas y de obligatorio cumplimiento.

Internet e información financiera

Toca ahora mencionar casi de pasada otros documentos, como por ejemplo la ley financiera, que entre otros aspectos crea las comisiones de auditoría, acepta la auditoría interna y respecto a la externa, unifica el acceso al ROAC; incluye la formación continuada obligatoria; introduce nuevas incompatibilidades para acentuar la independencia (servicios de diseño y puesta en práctica de sistemas TI financiera, servicios de valoración, auditoría interna...); indica que la responsabilidad civil afectará sólo solidariamente al auditor firmante del informe y a la sociedad de auditoría; y aclara que la documentación (papeles de trabajo) podrá accederse por el ICAC, resolución judicial, Banco de España, CNMV y Dirección General de Seguros y Fondos de Pensiones, autorizados por Ley y Corporaciones de auditores (sólo para control de calidad de sus miembros). No diremos más sobre esta pieza legal.
Hay otro documento de interés, el “Código de buenas prácticas para la divulgación de información financiera en Internet” de AECA, una entidad estructurada en comisiones con solera e influencia doctrinal en los temas alusivos a la administración de empresas.
El Código trata en primera aproximación pero con rigor, los siguientes aspectos: seguridad, enlaces, errores, los servicios de certificación, el papel de los auditores, las expectativas de los usuarios, el glosario de términos y el cuestionario de autoevaluación.
Sobre el Informe Aldama, en politiqués “Informe de la Comisión Especial para el fomento de la transparencia y seguridad en los mercados y en las sociedades cotizadas”, únicamente diremos que es un ejemplo de norma blanda, aunque toca aspectos que afectan de manera decisiva a las TIC y específicamente a la seguridad; me refiero al epígrafe 2.2, “Los instrumentos de información sobre gobierno corporativo”, en general, y más en particular al punto 2.2b, “La página web de la sociedad”, en el que se propone un imaginativo sistema interactivo consejo de administración/accionistas vía Internet que, en mi modesta opinión, el estado del arte, especialmente legislativo, no permite hoy.
Para finalizar este rapidísimo vuelo por leyes y normas, vamos a mencionar dos asuntos curiosos: el proyecto de voto electrónico de los accionistas en las juntas generales, preconizado en la propuesta de Código de Sociedades Mercantiles de la Comisión General de Codificación (11-2002) –recordemos al respecto que ya tenemos en este país experiencia de voto electrónico en algunos ámbitos (ver páginas 30 y 32 de SIC nº 51)–, y la iniciación por parte de ENAC de una campaña de vigilancia para controlar el uso de las marcas de certificación (ISO 9000:2000), según informa la publicación AEC.
¿Pasará algo?

Documento en PDF
 

<volver